ChatGPTがGDPR違反？ ～とあるノルウェー人に降りかかった被害～ 

※今号は生成AIによってドラフトされた内容を
執筆者が編集してお届けしています。

一昨年のChatGPTの公開以降、
急速に普及する生成AI、
もたらすメリットは大きいですが、
同時に、リスクも増大しています。

先週はAIを「洗脳」する可能性について紹介しましたが、
今週はAIの間違えた回答によって
一人の人間が犯罪者と
誤解されかねない事例を紹介したいと思います。

ノルウェーの男性、アルヴェ・ヒャルマル・ホルメン氏は、
ChatGPTが彼を子供殺しの犯人と誤って認識し、
虚偽の暴力的な背景を生成したことに対して
不満を抱いています。

ChatGPTは、彼が2020年12月に2人の子供を殺害し、
3人目を殺そうとしたと誤って回答しました。
この情報は明らかに誤りですが、
彼の居住地及び子供の数は真実ですので、
深刻な誤解を招く可能性があるとしています。

オーストリアのデータ権利団体「None of Your Business」は、
ホルメン氏の代理として
ノルウェーのデータ規制当局に対し、
OpenAIがGDPR（欧州プライバシー法）
に違反していると訴え、
モデルの調整、名誉を棄損する出力の削除、
個人データ処理の制限、および、
罰金の課徴と要求しました。

ChatGPTには誤りがある可能性があると
警告する免責事項が表示されています。

しかし、同団体は、これでは不十分であり、
虚偽の情報を広めることは許されないと指摘しています。

今週の事例も、先週と同様に、
生成AI使用にあたり、HITL（Human-In-The-Loop：人を必ず介在させる）
を適用する重要性を改めて示した事例とも言えます。

特に、個人のプライバシーに関連する事項は
入念な対応が必要と言えます。

※こちらは、執筆時点2025年3月26日での情報に基づいて書かれています。
従って、その後に明らかになった事などが
内容の充足度合いや正確さに影響を及ぼしている可能性が有ります。

弊社の社名となっている「レジリエンス」は、
「回復力」や「弾性」を意味する英単語です。

つまり、環境の変化や突発的な事象に対して
しなやかに粘り強く対応していく
立ち位置を意味しています。

目まぐるしく変化する時流の中で、
それを見極めつつ流されない解決策を提案致します。

そして、弊社は、ITインフラとセキュリティの
プロフェッショナル集団として
多数の実績を誇る株式会社アイロバと
密接なパートナー関係にあります。

同社はWAFのBlueSphereをはじめとした
国産独自開発のソリューションも多数保有し、
同時に、インターネットから脆弱性の露出状況を
把握できるSecurityScorecardの国内代理店でもあります。

【メルマガ監修】
サイバーレジリエンス株式会社　CTO 米沢 和希
■CISSP-ISSAP（情報システムセキュリティプロフェッショナル認定）
■CISA（公認情報システム監査人）
■PMP　(プロジェクトマネジメントプロフェッショナル国際資格）